Falha Crítica no Adobe Acrobat Reader Explorada Ativamente: CVE-2026-34621 Sob Ataque
**Adobe** emitiu atualizações de emergência para corrigir uma vulnerabilidade crítica no **Acrobat Reader**, **CVE-2026-34621**, que está sendo ativamente explorada. Essa falha, um problema de "prototype pollution", pode permitir que atacantes executem código arbitrário em sistemas afetados.
**Adobe** lançou atualizações de emergência para corrigir uma falha de segurança crítica no **Acrobat Reader** que tem sido alvo de exploração ativa.
A vulnerabilidade, identificada pelo código **CVE-2026-34621**, possui uma pontuação CVSS de 8.6 em 10.0. A exploração bem-sucedida da falha pode permitir que um atacante execute código malicioso em instalações afetadas.
Ela foi descrita como um caso de "prototype pollution" que pode resultar na execução de código arbitrário. "Prototype pollution" refere-se a uma vulnerabilidade de segurança em **JavaScript** que permite a um atacante manipular objetos e propriedades de uma aplicação.
O problema afeta os seguintes produtos e versões para Windows e macOS:
* Acrobat DC versões 26.001.21367 e anteriores (Corrigido em 26.001.21411)
* Acrobat Reader DC versões 26.001.21367 e anteriores (Corrigido em 26.001.21411)
* Acrobat 2024 versões 24.001.30356 e anteriores (Corrigido em 24.001.30362 para Windows e 24.001.30360 para macOS)
**Adobe** reconheceu que está "ciente de que **CVE-2026-34621** está sendo explorada ativamente".
O desenvolvimento ocorre dias após o pesquisador de segurança e fundador da EXPMON, **Haifei Li**, divulgar detalhes da exploração de uma zero-day da falha para executar código malicioso em **JavaScript** ao abrir documentos PDF especialmente criados através do **Adobe Reader**. Há evidências que sugerem que a vulnerabilidade pode estar sendo explorada desde dezembro de 2025.
"Parece que a **Adobe** determinou que o bug pode levar à execução de código arbitrário – não apenas a um vazamento de informações", disse a EXPMON em uma postagem no X. "Isso se alinha com nossas descobertas e as de outros pesquisadores de segurança nos últimos dias."
### Atualização
A Agência de Segurança Cibernética e Infraestrutura dos EUA (**CISA**), em 13 de abril de 2026, adicionou **CVE-2026-34621** ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), exigindo que as agências do Federal Civilian Executive Branch (FCEB) apliquem as correções até 27 de abril de 2026.
*(A matéria foi atualizada após a publicação para refletir a mudança na pontuação CVSS de 9.6 para 8.6. Em uma revisão de seu aviso em 12 de abril de 2026, a **Adobe** informou que ajustou o vetor de ataque de Rede (AV:N) para Local (AV:L).)*